자카르타 - GitHub 및 GitLab은 개발자가 코드를 업로드할 수 있고 다른 개발자가 애플리케이션의 추가, 개선 사항을 제공하거나 대체 버전을 포크할 수도 있는 소프트웨어 개발 플랫폼입니다.
사용자가 앱에서 버그를 발견하면 문제 보고서를 만들어 개발자에게 보고할 수 있습니다. 그리고 이후 다른 유저들도 댓글을 통해 이 문제를 확인할 수 있었습니다.
필요한 경우 오류를 보여주는 스크린샷이나 애플리케이션 충돌을 일으킨 문서 등 파일을 댓글에 첨부할 수 있습니다.
그러나 GitHub에는 한 가지 특이한 점이 있습니다. 사용자가 댓글을 달고 첨부 파일을 업로드했지만 '게시'를 클릭하지 않으면 정보가 초안에 '고착'되어 앱 소유자와 다른 GitHub 사용자에게 표시되지 않습니다. .
그러나 댓글에 업로드된 파일에 대한 직접 링크는 그대로 유지되고 완벽하게 작동하며, 이를 팔로우하는 사람은 누구나 GitHub CDN에서 파일을 받게 됩니다.
유명한 개발자 및 인기 프로젝트의 이름과 함께 GitHub라는 단어가 포함된 링크에 외부 파일을 게시할 수 있는 기능 덕분에 사이버 범죄자는 피싱 공격을 수행할 수 있는 기회를 얻게 됩니다.
Kaspersky는 연구원들이 Microsoft 리포지토리에 있는 게임용 치트 애플리케이션이 포함된 것으로 알려진 "댓글"을 본 악성 캠페인을 발견할 수 있었습니다.
“경고 사용자는 왜 게임 치트가 Microsoft 저장소(https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip)에 있는지 궁금해할 수 있습니다. 그러나 “GitHub”와 “Microsoft”라는 키워드가 피해자를 안심시켜서 피해자는 더 이상 링크에 대해 걱정하지 않을 것입니다.”라고 사이버 보안 회사는 말했습니다.
한편, 이 파일이 댓글에 게시된 저장소의 소유자는 해당 파일을 삭제하거나 차단할 수 없습니다. 그들은 심지어 그것을 모릅니다.
“똑똑한 사이버 범죄자는 악성 코드를 GitHub나 GitLab을 통해 배포되는 새로운 버전의 애플리케이션으로 제시하고 애플리케이션의 "댓글"을 통해 링크를 게시하는 등 악성 코드를 더욱 조심스럽게 위장할 수 있습니다." 그는 계속했다.
유일한 해결책은 댓글을 완전히 비활성화하는 것입니다(GitHub에서는 최대 6개월 동안 가능). 하지만 이렇게 하면 개발자의 피드백이 제거됩니다.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
